Revenir aux alertes

Bulletin d'alerte

Vulnérabilité dans SAP NetWeaver

mai 2025

Résumé

Le 15 mai 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a alerté sur une faille de sécurité dans SAP NetWeaver, un composant utilisé pour développer et exécuter des applications d’entreprise.

Référencée sous CVE-2025-42999, cette vulnérabilité concerne une faille de désérialisation dans le module Visual Composer Metadata Uploader. Elle permet à un utilisateur ayant des privilèges élevés de téléverser un contenu malveillant qui, une fois traité, peut compromettre la confidentialité, l’intégrité et la disponibilité du système hôte.

Solutions

Il est essentiel d’appliquer rapidement les correctifs publiés par SAP.

La faille est activement exploitée : Oui

Details techniques

Score CVSS : 9.1

Risques : Atteinte à la confidentialité des données, altération de l’intégrité des données, déni de service. 

 

Systèmes affectés

Version de SAP affectées :

  • SAP NetWeaver Visual Composer, notamment la version VCFRAMEWORK 7.50 et les versions antérieures non corrigées. 

 

Documentation

  • Bulletin de sécurité

https://me.sap.com/notes/3604119

https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html

  • Nist Details CVE

https://nvd.nist.gov/vuln/detail/CVE-2025-42999

  • CVE Details

https://www.cvedetails.com/cve/CVE-2025-42999

  • Reference CVE

https://www.cve.org/CVERecord?id=CVE-2025-42999

  • CWE

https://www.cvedetails.com/cwe-details/502/Deserialization-of-Untrusted-Data.html

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires

RGPD*
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.